2020 Fiscal Year Research-status Report
機械学習を用いた標的型攻撃における侵入拡大経路推定に関する研究
| Project/Area Number |
19K11961
|
|---|
| Research Institution | Nagoya University |
|---|
Principal Investigator |
山口 由紀子 名古屋大学, 情報基盤センター, 助教 (90239921)
|
|---|
| Project Period (FY) |
2019-04-01 – 2022-03-31
|
| Keywords | サイバーセキュリティ |
|---|
| Outline of Annual Research Achievements |
本研究では中規模程度の組織を対象とする標的型攻撃において、インターネットとの接続点に設置したIDSで大量の外向き通信が検知されるなどの情報窃取などの痕跡が発見された時点から組織内部の侵入被害を調査するための手法を提案するものである。本研究では通信の中身(ペイロード)を含まないヘッダ情報を使うことでデータ収集の負荷を軽減し、長期間のデータ収集を可能とする。そこで本研究ではNetFlowによる組織内通信データの収集と感染経路推定を行う。実験ネットワークは、組織内の複数の部署サブネットとサーバセグメントからなるイントラネットから構成され、各サブネットを接続するルータにおいてNetFlowにより通信データを収集してログ収集サーバへ転送するものである。
昨年度までに、部署サブネットやサーバセグメントをPC1台に仮想環境を構築して実現し、複数台のPCをルータに接続してイントラネット通信およびインターネット通信が可能な環境を構築した。当該ルータにおいてNetFlowデータを構築して送出し、ログ収集サーバにおいて受信する環境を構築した。
今年度は、各部署の日常的なネットワーク利用のデータ収集を行うとともに、機械学習を行う解析環境の構築を行った。イントラネット内の各端末について、組織内部で日常的に実行するネットワークを利用した作業をタスクスケジューラで設定し定期的に自動実行するようにした。また、収集したNetFlowデータについて機械学習要のデータとするための特徴量抽出について検討した。しかしながら、平常時モデルの構築や、標的型攻撃で行われる侵入、侵入拡大、情報窃取、情報流出のシナリオに沿った模擬攻撃の実施までにはいたらなかった。
一方、本研究課題の関連研究として、組織における脅威情報の自動抽出や機械学習を用いたマルウェア検知システムに関する研究を行い、研究成果の発表を行った。
|
| Current Status of Research Progress |
Current Status of Research Progress
3: Progress in research has been slightly delayed.
Reason
中規模組織を模した実験ネットワークで日常的なネットワーク活動のデータ収集環境を利用したNetFlowデータの収集を行うとともに、並行して機械学習環境を構築した。一方で、標的型攻撃のシナリオ検討とその実現に時間がかかり、データ収集ができなかったため、機械学習によるモデル構築もできなかった。
|
| Strategy for Future Research Activity |
実験ネットワークを利用した平常時の通信データの収集を継続するとともに、標的型攻撃のシナリオ実施を早急に進める。平常時データ、攻撃時データが揃い次第、機械学習によるモデル構築を行う。
|
| Causes of Carryover |
2020年2月末より広がった新型コロナウィルス感染により、引き続き2020年度も国際会議、国内学会、研究会などがすべてオンライン開催となった。そのため、成果発表や情報収集のために予定していた出張がすべてキャンセルとなり、計画どおりの予算執行ができなった。
2021年度後半には各種学会も現地開催されることが予想されるので、積極的に参加する予定である。また、実験環境の拡充も進める予定である。
|
